其他
20230527-5th域安全微讯早报-NO.126
网络空间安全对抗资讯速递
2023年05月27日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-126 星期六
今日热点导读
1、美国国防部向国会提交机密版网络战略
2、《通用数据保护条例》(GDPR)实施5周年:批评大于积极影响
3、美国司法部要求Python软件基金会提供PyPI用户的数据
4、德国检察官起诉FinFisher间谍软件高管
5、以色列间谍软件Pegasus成为亚美尼亚和阿塞拜疆战争中的武器
6、Google Cloud Platform中的漏洞允许访问客户机密和数据
7、Nokoyawa勒索软件组织重出江湖并公布了24名新受害者的名单
8、NCC Group为开发人员和渗透测试人员发布开源工具
9、Fortinet“2023年运营技术和网络安全状况报告”显示OT继续成为网络犯罪分子的高比率目标
10、Emby关闭了在最近的攻击中被黑的用户媒体服务器
11、OpenAI首席执行官奥特曼就AI监管“威胁”欧盟
12、Latitude金融攻击使公司损失高达1.05亿澳元
资讯详情
1、美国国防部向国会提交机密版网络战略
美国国防部周五(26日)宣布,它“本周早些时候”向国会提交了2023年机密网络战略,并计划“在未来几个月”发布其新网络安全方法的非机密摘要。国防部在一份新闻稿中说:“机密的2023年国防部网络战略为国防部实施2022年国防战略中提出的网络空间概念和防御目标提供了指导。” “它建立在2018年国防部网络战略设定的方向之上,并借鉴了国防部重要网络空间作战多年的实际经验。”在拜登政府于3月发布国家网络安全战略之后,国防部向国会提交了更新后的网络战略。在一份非机密的情况说明书中,国防部表示新的网络战略“基于现实世界的经验”,包括“俄罗斯2022年入侵乌克兰”以及国防部越来越关注“通过其前线防御政策开展一系列重要的网络空间行动” ,在恶意网络活动影响美国国土之前积极破坏它。”该部门的2018年网络战略首先提出了前向防御的概念,旨在让国防部更好地定位于更直接地“拦截和制止网络威胁”对数字对手的网络和系统。国防部表示,将在其网络战略中“追求四项互补的努力”,共同设计以应对来自暴力极端主义组织、跨国犯罪组织、朝鲜、伊朗、俄罗斯的威胁——国防部是最后一个说“代表了该部门在网络领域的节奏挑战。” 扩大2018年战略中包含的防御前沿重点,该情况说明书称国防部“将在网络空间内和通过网络空间开展活动,以产生对恶意网络参与者的洞察力,并进行前沿防御以破坏和降低这些参与者的能力和支持生态系统。” 国防部的新战略还寻求“确保国防部信息网络的网络安全”,并对“联合部队的网络弹性”进行额外投资,以及“协助美国盟友和合作伙伴建设其网络能力”。部门的情况说明书。这包括五角大楼继续开展向前追击行动,国防部称其“建立网络弹性并将通过鼓励遵守国际法和国际公认的网络空间规范来加强负责任的国家行为。”最后,国防部表示,该战略将通过优化“网络作战部队和现役网络部队的组织、训练和装备”来“在网络空间建立持久优势”。这包括对“网络空间作战的推动因素”的额外投资,该部门称这包括“情报、科学技术、网络安全和文化”。
https://www.nextgov.com/cybersecurity/2023/05/dod-submits-classified-cyber-strategy-congress/386849/
2、《通用数据保护条例》(GDPR)实施5周年:批评大于积极影响
《通用数据保护条例》生效五年后,欧盟隐私法——被誉为在日益数字化的世界中保护公民隐私的一种方式——继续因缺乏有效性和实施不平衡而受到批评。GDPR于2018年5月25日生效,是世界上最严格的隐私规则之一。包括Facebook和谷歌在内的大公司都因违规被罚款数百万欧元。该规则允许数据保护机构处以高达公司全球年营业额4%的罚款。国际律师事务所CMS估计,欧洲数据保护当局迄今已开出总计超过20亿欧元的罚单。尽管罚款数额巨大,但隐私和民权组织坚持认为,该法律未能实现保护欧洲公民数据的预期目标,尤其是来自大型科技公司的数据。“GDPR提供了强大的调查和执法权力,以保护人们免受滥用数据的影响,这些滥用导致了数字世界的许多问题,”爱尔兰公民自由委员会(ICCL)的高级律师Johnny Ryan说。“它应该是我们抵御数字时代问题的盾牌。但这个盾牌还没有被拿起来。”ICCL最近的一份报告指责欧盟对大型科技公司“几乎没有实质性执法”。就在爱尔兰数据保护委员会根据NOYB提出的投诉对Facebook处以12亿欧元罚款后几天,GDPR迎来了颁布五周年。该组织表示,该公司的隐私保证无法保护欧洲人免受美国情报机构的监视。施雷姆斯敦促这家社交媒体巨头联合其网络,将欧洲人的数据物理保存在贸易集团成员国内。批评人士说,与GDPR相关的另一个关键挑战是各国数据保护机构执行法规的方式不同,从而导致不一致。
https://www.govinfosecurity.com/5-years-gdpr-criticism-outweighs-positive-impact-a-22156
3、美国司法部要求Python软件基金会提供PyPI用户的数据
Python软件基金会(PSF)宣布它在2023年3月和2023年4月收到了三份传票,要求为PyPI提供用户数据,PyPI是Python编程语言的软件存储库。有三张传票都是由美国司法部发出的,但没有解释法律情况。总共请求了与五个PyPI用户名相关的数据。请求的数据包括:与已识别帐户关联的名称;地址(包括邮政、电子、住宅和商业地址);连接记录;会话时间记录和相关联的在线标识符;帐户创建日期;注册时使用的电话号码和 IP 地址;付款方式和来源;下载的python包;已识别用户下载的任何PyPI包的IP下载日志。该基金会强调PyPI用户的隐私至关重要,他们正在尽一切可能防止其数据泄露。然而,在这种情况下,PSF根据律师的建议,决定唯一的行动方案是提供所要求的数据。PSF还宣布,它目前正在制定新的数据保留和披露政策,以适应Python社区的不同利益,并保护个人数据免遭不必要的查询或泄露。新规则将向社区明确说明,并将处理政府未来数据请求的程序、个人数据保留的时间和范围。
https://www.securitylab.ru/news/538479.php
4、德国检察官起诉FinFisher间谍软件高管
德国检察官近日起诉资不抵债的商业间谍软件公司FinFisher的四名高管非法向土耳其出口他们的黑客工具。起诉书指控FinFisher的四名高管(姓名首字母缩写)在2015年通过一家保加利亚幌子公司向土耳其情报机构出售FinSpy黑客工具,从而逃避出口管制。2015年,德国政府将间谍软件指定为双重用途技术,需要满足欧盟以外客户的出口许可要求。民权组织指责FinFisher向世界各地的专制政府出售FinSpy间谍软件。FinSpy 可以在设备所有者不知情的情况下录制音频、打开相机并从智能手机中窃取信息。起诉书发布之际,欧洲议会委员会结束了对集团成员使用商业间谍软件的调查,并发布了一系列建议,包括在今年之后停止出口,除非各国政府能够确保间谍软件的销售符合双重用途控制。委员会报告员兼荷兰代表Sophie in 't Veld在本月早些时候的一次新闻发布会上指责塞浦路斯、希腊和保加利亚“可能还有……其他国家”允许非法出口。In 'Veld在周一(22日)的一条推文中对起诉 表示欢迎,称这些指控是“重要的进展”。彭博社在2022年3月报道称,FinFisher已关闭运营商并申请破产。检方调查发现,该公司与土耳其政府签署了价值504 欧元的协议,用于监控软件和硬件并提供技术支持和培训。
https://www.govinfosecurity.com/german-prosecutors-indict-finfisher-spyware-executives-a-22174
5、以色列间谍软件Pegasus成为亚美尼亚和阿塞拜疆战争中的武器
数字权利倡导组织Access Now怀疑阿塞拜疆使用Pegasus间谍软件在2020年10月至2022年12月期间监视至少10名亚美尼亚公民(iPhone用户),原因是两国之间持续存在边界冲突。调查称,这是在全球战争背景下使用Pegasus间谍软件的第一份书面证据。Access Now认为Pegasus也被阿塞拜疆用来对付本国公民。与其他人权组织大赦国际和Forbidden Stories的进一步研究发现,可能有245名阿塞拜疆人成为攻击目标。根据 Access Now的说法,人权组织有“大量证据”表明阿塞拜疆正在使用Pegasus来对付持不同政见的公民——记者、新闻编辑或媒体公司老板、人权活动家、律师、反对派和科学家。”另一方面,Access Now并不认为亚美尼亚使用的是Pegasus,而是使用了名为Predator的类似间谍软件,该软件由位于北马其顿的Cytrox 发,主要销售商业间谍软件和其他监控工具。根据Access Now的报告,与Pegasus一样,Predator与世界各地的侵犯人权行为有关,并且也受到 欧盟的审查。Pegasus是由以色列公司NSO Group开发的间谍软件,可以偷偷安装在运行大多数iOS和Android 版本的手机(和其他设备)上。Pegasus可以读取短信、跟踪通话、收集密码、跟踪位置、访问目标设备的麦克风和摄像头以及从应用程序收集信息。Pegasus取自希腊神话中的飞马-Pegasus。
https://www.securitylab.ru/news/538463.php
6、Google Cloud Platform中的漏洞允许访问客户机密和数据
Dig Security的网络安全研究人员发现了谷歌云平台(GCP)数据库服务中的一个严重漏洞,该漏洞允许访问敏感数据和机密,以及特权升级和其他云服务的中断,包括可能由谷歌客户拥有的云服务。专家们通过围绕CloudSQL GCP服务的安全漏洞发现了一个漏洞,该服务支持多种不同的数据库引擎——包括MySQL、PostgreSQL和SQL Server——在云中使用。该漏洞允许专家提升权限并将他们创建的用户添加到DbRootRole,这是 GCP中的管理角色。然后,研究人员利用角色和权限体系结构中的另一个关键缺陷进一步提升他们的权限,最终使攻击者成为系统管理员,可以完全控制SQL Server。然后审查员能够访问托管数据库的操作系统。此时,研究人员可以访问主机操作系统上的敏感文件、查看文件、读取密码并提取敏感数据。此外,主机可以访问服务代理,这可能会导致进一步升级到其他环境。该漏洞的最后一个方面可能使攻击者能够访问使用GCP的客户端环境中的资源。研究人员在2月份发现了该漏洞,并通过Bug Bounty计划向谷歌报告了该问题。两家公司合作了两个月,谷歌在4月份通过奖励发现漏洞的Dig Security解决了这些问题。
https://www.securitylab.ru/news/538465.php
7、Nokoyawa勒索软件组织重出江湖并公布了24名新受害者的名单
Nokoyawa勒索软件组织的官方通讯渠道Nokoyawa Leaks本周重新出现在暗网上,公布了24名新受害者的名单。凭借其最新变体Nokoyawa 2.0,该组织展示了增强的文件加密功能,并采用了高性能的Rust编程语言。Nokoyawa勒索软件不像其同类ALPHV或LockBit那样多产。出于这个原因,突然列出大约两打受害者已经发出了危险信号。此外,它是Hive勒索软件的衍生产品这一行为加剧了可能的风险。Nokoyawa勒索软件组主要在 64位Windows系统上运行,因其双重勒索策略而臭名昭著,将数据泄露与传统文件加密和勒索要求相结合。Nokoyawa勒索软件组织最近出现在网络安全新闻中,当时卡巴斯基的研究人员披露,犯罪者利用Windows通用日志文件系统 (CLFS)中的零日漏洞来部署勒索软件。情况的严重性促使网络安全和基础设施安全局(CISA)将Windows零日CVE-2023-28252列入其已知被利用漏洞列表。Nokoyawa勒索软件组于2022年2月首次浮出水面,研究人员很快在新进入者身上发现了Hive勒索软件的痕迹。2022年3月,趋势科技研究人员发现了Hive与鲜为人知的Nokoyawa勒索软件组织之间的联系。从所使用的工具到攻击步骤的顺序执行,这两个勒索软件系列之间的相似性暗示了一种可能的联系。趋势科技研究人员指出,这两个组织在攻击的初始阶段都使用了Cobalt Strike来获得立足点。2022年9月,Nokoyawa被用Rust编程语言重写,使用ECC与Curve25519和Salsa20进行文件加密,”Zscaler关于勒索软件的威胁评估报告说。Nokoyawa勒索软件组织的赎金样本样本揭示了他们的意图,并向受害者提供了如何进行操作的说明。
https://thecyberexpress.com/nokoyawa-ransomware-group-all-you-need-to-know/
8、NCC Group为开发人员和渗透测试人员发布开源工具
网络安全公司NCC Group发布了新的开源工具,这些工具对应用程序开发人员和渗透测试人员很有用。第一个名为Code Credential Scanner (css),开发人员可以使用它来扫描存储库中的配置文件,以检测任何存储的凭据并在它们泄露之前将其删除。该工具在本地文件系统上运行,这意味着它可以随时执行以扫描本地文件。它还可以集成到开发机制中以执行自动计划扫描。“该工具旨在供CI/CD管道中的开发团队直接使用,通过在代码中存在凭据时提醒团队来管理此问题的补救过程,以便团队可以在问题出现时立即修复”,NCC集团解释道。该脚本是用Python编写的,没有外部依赖性,可以使用参数执行,除了密码和密钥外,还可以识别用户名、电子邮件地址等。否则,它只会扫描已知密码。Code Credential Scanner 语言无关,可以在任何代码库上工作以减少误报,并提供多种解决问题的方法。除了扫描器,NCC Group还推出了CowCloud,这是一种开源工具,可以帮助渗透测试人员和其他技术团队在AW 中分配工作负载。CowCloud最初旨在以分布式方式执行侦察工具和漏洞扫描,可用于创建和查看馈送到工作节点上运行的Python代码的任务,也可用于安装和运行商业工具。据NCC Group称,该工具还可用于基线安全测试、AWS中的分布式密码破解以及集中式工具访问和管理。
https://www.securityweek.com/ncc-group-releases-open-source-tools-for-developers-pentesters/
9、Fortinet“2023年运营技术和网络安全状况报告”显示OT继续成为网络犯罪分子的高比率目标
新的Fortinet数据显示,由于内部泄露事件减少,入侵事件可能总体下降,但勒索软件和网络钓鱼仍然是主要威胁,尽管网络犯罪分子似乎正在采用更有针对性的方法。几乎所有组织都将OT(运营技术)网络安全的责任交给了CISO,而不是运营主管或团队。它还表明,OT专业人士现在似乎对其组织的OT网络安全防御有更现实的自我评估,因为网络安全单点产品和解决方案的蔓延可能会使在融合的IT/OT环境中一致地应用策略和执行它们更具挑战性。Fortinet在其题为“2023 年运营技术和网络安全状况报告”的报告中表示,OT继续成为网络犯罪分子的高比率目标,而未遭受网络安全入侵的组织数量同比大幅增加。“然而,这可能不是因为网络风险降低,而是因为网络犯罪分子采用了更具针对性的方法,”它补充道。Fortinet透露,尽管遭受入侵的次数正在下降,但仍有75%的受访组织表示,他们在过去12个月内至少经历过一次入侵。尽管勒索软件和网络钓鱼仍然是主要威胁,但总体下降归因于内部泄密事件减少,而不是网络犯罪攻击减少。此外,近80%的受访者表示他们的OT环境中有超过 100个支持IP的OT设备,这突显了安全团队要保护不断扩大的威胁环境是多么重大的挑战。此外,认为其组织的网络安全成熟度为4级的受访者数量从一年前的21%下降到目前的13%,而认为其网络安全成熟度为3级的受访者从35%上升到44%。这种数据波动表明,OT专业人士现在对其组织的OT网络安全能力有了更现实的自我评估。
https://industrialcyber.co/reports/fortinet-reports-overall-decline-in-intrusions-while-ot-professionals-have-better-assessment-of-defenses/
10、Emby关闭了在最近的攻击中被黑的用户媒体服务器
Emby表示,它远程关闭了数量不详的用户托管媒体服务器实例,这些实例最近因利用先前已知的漏洞和不安全的管理员帐户配置而遭到黑客攻击。“我们在你的系统上检测到一个恶意插件,它可能是在你不知情的情况下安装的。[..]为了你的安全,我们已经关闭了你的Emby服务器作为预防措施,”该公司在添加到新条目中通知用户受影响的服务器日志文件。Emby在帮助用户管理其的个人媒体库的企业,例如家庭视频和照片。攻击始于2023年5月中旬,当时攻击者开始瞄准暴露在互联网上的私人 Emby服务器,并渗透那些配置为允许管理员在本地网络上无口令登录的服务器。为了欺骗服务器授予他们访问权限并获得对易受攻击服务器的管理服务器,即使他们试图从LAN外部登录,威胁参与者利用了一个漏洞,该漏洞被Emby描述为“代理标头漏洞”,至少从那时起就为人所知2020 年2月 ,最近在测试版频道中进行了修补。黑客通过安装一个恶意插件利用他们的访问权限为受感染的Emby实例设置后门,该插件收集所有登录被黑服务器的用户的凭据。“在对可能的缓解策略进行仔细分析和评估后,Emby团队能够向Emby Server实例推出更新,该实例能够检测到有问题的插件并阻止其加载,”Emby说。“由于这种情况的严重性和性质,并且非常谨慎,我们正在阻止受影响的服务器在检测后再次启动。”正如Emby进一步解释的那样,关闭受影响的服务器是一项预防措施,旨在禁用恶意插件,并缓解情况的立即升级并引起管理员的注意以直接解决该问题。
https://www.bleepingcomputer.com/news/security/emby-shuts-down-user-media-servers-hacked-in-recent-attack/
11、OpenAI首席执行官奥特曼就AI监管“威胁”欧盟
ChatGPT目前将继续在欧盟内部运营,尽管OpenAI首席执行官山姆奥特曼警告称,如果他不喜欢布鲁塞尔正在制定的人工智能法规,他准备退出欧盟。一直在欧洲各国首都巡回演出的奥特曼周四在伦敦告诉记者,他对明年即将颁布的人工智能法案法规持怀疑态度。“细节真的很重要,”奥特曼说,周四英国《金融时报》报道说。“我们会努力遵守,但如果我们不能遵守,我们将停止运营。”他在周五(26日)凌晨改口,发推文说:“我们很高兴能继续在这里运营,当然没有离开的计划。”本月早些时候,欧洲立法者在提案草案中加入了针对生成人工智能的新透明度和版权义务。在向公众或其他技术公司提供模型之前,GPT 等“基础模型”的制造商也有义务降低“健康、安全、基本权利、环境、民主和法治”的风险。“Altman本月早些时候在美国国会的一个小组面前呼吁制定法规,讨论许可和注册要求以及安全标准。在周四(25日)伦敦大学学院的一次演讲中,奥特曼澄清说他喜欢监管,只是不想监管太多。“正确的答案可能介于传统的欧洲-英国方法和传统的美国方法之间,”他说。奥特曼招致了包括欧盟内部市场专员蒂埃里布雷顿在内的欧洲政策制定者的批评,他称奥尔特曼关于离开欧洲的言论是“企图勒索”。欧洲议会的荷兰议员Kim van Sparrentak也将Altman描述为试图勒索欧洲监管机构。据路透社报道,Sparrentak说:“如果OpenAI不能遵守基本的数据治理、透明度、安全和保障要求,那么他们的系统就不适合欧洲市场。”
https://www.govinfosecurity.com/openai-ceo-altman-blackmails-eu-over-ai-regulation-a-22180
12、Latitude金融攻击使公司损失高达1.05亿澳元
澳大利亚消费者贷款机构Latitude Financial Services预计其春季网络安全事件将使其损失高达1.05亿澳元,其中包括为期五周的收债系统受到攻击的严重影响。在窃取了与1400万客户有关的数据(包括近800万澳大利亚和新西兰驾照号码)后,黑客要求非银行债权人敲诈勒索。他们通过从第三方获得的特权凭证获得访问权限。其他暴露的信息包括来自近100万份贷款申请的财务数据,例如银行帐号和支付卡号。Latitude表示,大多数支付卡都已过期或关闭,黑客没有获得三位数的安全代码或有效期。该公司在4月份表示不会支付赎金。Latitude能够在事件期间处理交易,但“账户发起和收款被关闭或受到严格限制”。该公司表示,此后已完全恢复。在提交给澳大利亚证券交易所的文件中,该公司估计2023年半年的税后亏损总计将在9500万至1.05亿澳元之间。该金额不包括公司可能因“监管罚款、集体诉讼、未来系统改进或保险收益假设”而面临的任何潜在成本。在周五(26日)发布的演示幻灯片中,该公司表示,攻击的总遏制和补救成本将达到700万澳元。Latitude股价26日下跌3.47% 。
https://www.govinfosecurity.com/latitude-financial-attack-costs-company-up-to-au105-million-a-22184
THE END
往期推荐
1. 5th域微讯晨报-Vol-2023-124
3. 5th域微讯晨报-Vol-2023-121
4. 5th域微讯晨报-Vol-2023-122
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement